翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Studio Classic sourceIdentity の CloudTrail ログで SageMaker を有効にする
Amazon SageMaker Studio Classic では、ユーザーリソースへのアクセスをモニタリングできます。ただし、リソースアクセスの AWS CloudTrail ログには、Studio Classic 実行IAMロールが識別子として一覧表示されます。単一の実行IAMロールが複数のユーザープロファイル間で共有される場合、 sourceIdentity
設定を使用して、 AWS リソースにアクセスした特定のユーザーに関する情報を取得する必要があります。
以下のトピックでは、sourceIdentity
設定をオンまたはオフにする方法について説明します。
前提条件
-
の最新バージョンをインストールまたは更新する AWS Command Line Interface 手順をインストールして設定します。 AWS CLI
-
ドメイン内の Studio Classic ユーザーには、ドメインの更新または変更を許可するポリシーがないことを確認します。
-
sourceIdentity
伝達の開始または停止をするには、ドメイン内のすべてのアプリがStopped
またはDeleted
状態である必要があります。アプリを停止およびシャットダウンする方法の詳細については、「Studio Classic Apps のシャットダウンと更新」を参照してください。 -
ソース ID の伝播が有効になっている場合、すべての実行ロールに次の信頼ポリシーアクセス許可が必要です。
-
ドメインの実行ロールが引き受けるすべてのロールには、
sts:SetSourceIdentity
信頼ポリシーの アクセス許可が必要です。このアクセス許可がない場合、AccessDeniedException
またはジョブ作成 を呼びValidationError
出すと、アクションは失敗しますAPI。次の信頼ポリシーの例には、sts:SetSourceIdentity
アクセス許可が含まれています。{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": [ "sts:AssumeRole", "sts:SetSourceIdentity" ] } ] }
-
ロールチェーンと呼ばれる別のロールを持つロールを引き受ける場合は、次の操作を行います。
-
sts:SetSourceIdentity
の権限は、ロールを引き受けるプリンシパルのアクセス許可ポリシーと、ターゲットロールのロール信頼ポリシーの両方で必要です。そうしない場合、ロールの引き受け操作は失敗します。 -
このロールの連鎖は、Studio Classic または Amazon などの他のダウンストリームサービスで行うことができますEMR。ロールチェーンに関する詳細については、「ロールに関する用語と概念」を参照してください。
-
-
sourceIdentity をオンにする
Studio Classic sourceIdentity
の としてユーザープロファイル名を伝達する機能は、デフォルトでオフになっています。
ユーザープロファイル名を として伝達できるようにするにはsourceIdentity
、ドメインの作成時とドメインの更新 AWS CLI 時に を使用します。この機能はドメインレベルで有効になり、ユーザープロファイルレベルでは有効になりません。
この構成を有効にすると、管理者はアクセスされたサービスの AWS CloudTrail ログでユーザープロファイルを確認できるようになります。ユーザープロファイルは userIdentity
セクションの sourceIdentity
値として表示されます。での AWS CloudTrail ログの使用の詳細については SageMaker、「 での Amazon SageMaker API コールのログ AWS CloudTrail」を参照してください。
次のコードを使用して、 を使用してcreate-domain
ドメイン作成sourceIdentity
時にユーザープロファイル名を として伝達できますAPI。
create-domain --domain-name <value> --auth-mode <value> --default-user-settings <value> --subnet-ids <value> --vpc-id <value> [--tags <value>] [--app-network-access-type <value>] [--home-efs-file-system-kms-key-id <value>] [--kms-key-id <value>] [--app-security-group-management <value>] [--domain-settings "ExecutionRoleIdentityConfig=USER_PROFILE_NAME"] [--cli-input-json <value>] [--generate-cli-skeleton <value>]
を使用して、ドメインの更新sourceIdentity
中にユーザープロファイル名の伝達を として有効にできますupdate-domain
API。
この構成を更新するには、ドメイン内のすべてのアプリが Stopped
または Deleted
状態である必要があります。アプリを停止およびシャットダウンする方法の詳細については、「Studio Classic Apps のシャットダウンと更新」を参照してください。
次のコードを使用すると、sourceIdentity
としてユーザープロファイル名を伝達できるようになります。
update-domain --domain-id <value> [--default-user-settings <value>] [--domain-settings-for-update "ExecutionRoleIdentityConfig=USER_PROFILE_NAME"] [--cli-input-json <value>] [--generate-cli-skeleton <value>]
sourceIdentity を無効にする
AWS CLIを使用して、sourceIdentity
としてのユーザープロファイル名の伝達を無効にすることもできます。これは、update-domain
API呼び出しの一部として ExecutionRoleIdentityConfig=DISABLED
パラメータの--domain-settings-for-update
値を渡すことで、ドメインの更新中に発生します。
で AWS CLI、次のコードを使用して、ユーザープロファイル名の としての伝達を無効にしますsourceIdentity
。
update-domain --domain-id <value> [--default-user-settings <value>] [--domain-settings-for-update "ExecutionRoleIdentityConfig=DISABLED"] [--cli-input-json <value>] [--generate-cli-skeleton <value>]